Nacos 综合利用工具推荐
2024-11-1 17:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

指纹识别方式:title="NACOS" && body="nacos-logo.png"

Nacos 综合检测利用工具推荐:NacosExploit

下载地址:https://github.com/h0ny/NacosExploit

支持检测的漏洞列表:

可以基于认证绕过漏洞导出配置文件,其中包含很多敏感信息,比如数据库的链接地址和账号密码,如图:

如果存在反序列化漏洞或者未授权 SQL 语句执行,那么可以利用该漏洞直接打入内存马,从而接管整个服务器:

安全建议

1、加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;

2、升级系统到最新版,以防历史漏洞造成不必要的损失

一键检测 Nacos 历史漏洞

信安之路 POC 系统配套工具 xazlscan 可以一键识别系统类型,并自动适配 POC 进行漏洞检测,只需要输入目标,就能获得漏洞列表,傻瓜式、一键化实现漏洞发现:

下载地址:https://github.com/myh0st/xazlscan

每个 POC 都有对应的文库地址,无需搜索相关资料,一步直达漏洞详情。

信安之路

成长平台:帮助小白入门信息安全

内部文库:自学安全更加体系化

POC系统:历史漏洞检测更高效智能


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247499648&idx=1&sn=e6b64c5c0789c719e6a3b6b78f7af344&chksm=ec1dcfa8db6a46be99de77e2ff41fc59ca5f1d882b5a50fe6eb2d23763e759aabd85d179b1af&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh